Ein Vertriebsmitarbeiter kopiert vor dem Kundentermin schnell eine Liste mit Ansprechpartnern in
ChatGPT, um ein passendes Angebot zu formulieren. Die HR-Kollegin lädt eingegangene Bewerbungen in
ein KI-Tool, um eine Vorauswahl zu treffen. Niemand hat das offiziell angeordnet, aber jeder nutzt gerade
das Werkzeug, das am schnellsten zum Ergebnis führt. Genau in diesem Moment entsteht ein ComplianceProblem, das viele Geschäftsführer erst bemerken, wenn es zu spät ist.
Inhaltsverzeichnis
Warum der EU AI Act den Mittelstand direkt betrifft
Der EU AI Act ist der erste umfassende Rechtsrahmen für Künstliche Intelligenz weltweit und gilt längst nicht nur für Konzerne oder Technologieunternehmen. Er tritt seit August 2024 stufenweise in Kraft, seit dem 2. Februar 2025 ist die sogenannte KI-Kompetenzpflicht nach Artikel 4 verbindlich, und am 2. August 2026 greift die vollständige Anwendung für Hochrisiko-KI-Systeme inklusive Marktüberwachung durch die Bundesnetzagentur. Wer bis dahin keine funktionierende Governance-Struktur für den Einsatz von KI im eigenen Betrieb aufgebaut hat, riskiert nicht nur ein rechtliches Problem, sondern ein sehr konkretes finanzielles: Bei verbotenen KI-Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, bei Verstößen gegen Hochrisiko-Pflichten bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes.
Für ein mittelständisches Unternehmen mit 80 oder 200 Mitarbeitenden klingt das zunächst nach einer Regelung für andere. Der Alltag zeigt aber, dass KI längst überall angekommen ist, in der Buchhaltung, im Vertrieb, im Recruiting, oft ohne dass die Geschäftsführung einen vollständigen Überblick hat, welche Tools tatsächlich im Einsatz sind.

Vier Risikoklassen bestimmen den Aufwand
Der AI Act unterscheidet KI-Systeme nach ihrem Risikopotenzial, und diese Einordnung entscheidet darüber, wie viel Dokumentation und Kontrolle notwendig wird. Verbotene KI-Praktiken wie Emotionserkennung am Arbeitsplatz oder Social Scoring sind für die meisten Büros irrelevant, aber wichtig zu kennen, weil Grenzfälle wie eine Stimmungsanalyse-Software schneller in diese Kategorie fallen können, als man denkt.
Deutlich praxisrelevanter ist die Klasse der Hochrisiko-KI. Wer automatisiertes Bewerber-Screening, KI-gestützte Leistungsbewertung oder Kreditwürdigkeitsprüfungen einsetzt, bewegt sich hier, und für diese Systeme gelten strenge Pflichten: menschliche Aufsicht durch qualifiziertes Personal, laufende Überwachung des Betriebs, eine Aufbewahrung der Protokolle von mindestens sechs Monaten und die aktive Information betroffener Personen. Chatbots und KI-generierte Inhalte fallen in die Klasse mit begrenztem Risiko, hier reicht meist eine klare Kennzeichnung, dass eine KI im Spiel ist. Die Mehrheit der heute genutzten Werkzeuge wie DeepL, Microsoft Copilot oder interne Recherche-Tools gilt als minimales Risiko, wobei auch hier die KI-Kompetenzpflicht und die DSGVO uneingeschränkt weitergelten.
Das eigentliche Risiko sitzt nicht im Gesetz, sondern im Alltag
Die größte Gefahr für die Compliance liegt weniger in bewussten Verstößen als in der unkontrollierten Nutzung externer KI-Tools durch Mitarbeitende, dem sogenannten Shadow AI. Studien zeigen, dass 54 Prozent der Wissensarbeiter in Deutschland KI-Systeme ohne offizielle Genehmigung nutzen, und in kleinen Unternehmen sind im Schnitt 269 nicht genehmigte KI-Tools pro 1.000 Mitarbeitende im Einsatz. Besonders kritisch: 38 Prozent der Mitarbeitenden teilen dabei vertrauliche Daten mit KI-Plattformen außerhalb der Unternehmenskontrolle, und Datenschutzverletzungen mit Shadow-AI-Bezug kosten im Schnitt 4,63 Millionen US-Dollar, rund 670.000 Dollar mehr als bei vergleichbaren Vorfällen ohne KI-Beteiligung.
Das Problem dabei ist nicht allein der einzelne Vorfall, sondern die strukturelle Folge: Ohne Kenntnis aller im Unternehmen genutzten KI-Systeme lässt sich weder ein vollständiges KI-Inventar erstellen noch eine Risikobewertung durchführen, und genau das verlangt der AI Act als Grundlage jeder Compliance-Arbeit. Ein Verbot externer Tools allein löst das Problem in der Praxis meist nicht, weil Mitarbeitende dann auf private Geräte und Netzwerke ausweichen, was die Lage noch schwerer kontrollierbar macht.
Die drei Pflichten, die für jedes Unternehmen gelten
Unabhängig von Risikoklasse und Unternehmensgröße sind drei Anforderungen für jeden Betreiber von KI-Systemen verpflichtend. Erstens die KI-Kompetenzpflicht nach Artikel 4, die seit Februar 2025 verlangt, dass Mitarbeitende je nach Rolle über angemessenes Wissen zu den genutzten KI-Tools verfügen, dokumentiert und nachweisbar, nicht als einmalige Pauschalschulung. Zweitens ein vollständiges KI-Inventar, das alle eingesetzten Systeme erfasst, einschließlich der Tools, die Mitarbeitende eigenständig nutzen, als Grundlage für die Risikoeinstufung. Drittens die Kennzeichnungspflicht nach Artikel 50, die ab dem 2. August 2026 vorschreibt, dass KI-generierte Inhalte, die veröffentlicht werden, als solche erkennbar gemacht werden müssen, außer sie wurden redaktionell durch eine verantwortliche Person geprüft.
Checkliste: Vier Bausteine bis zur vollständigen Anwendung
Für Unternehmen, die sich bis August 2026 rechtssicher aufstellen wollen, lassen sich die Anforderungen auf vier konkrete Bausteine herunterbrechen:
- KI-Inventar erstellen: Alle genutzten Systeme auflisten, auch die, die Mitarbeitende ohne Genehmigung einsetzen, und diese Liste laufend aktuell halten.
- Rollen und Verantwortlichkeiten klären: Festlegen, wer welche KI-Systeme mit welchen Rechten nutzen darf und wer im Unternehmen für die KI-Governance zuständig ist.
- KI-Kompetenz nachweisen: Rollenspezifische Schulungen durchführen und dokumentieren, inklusive klarer Regeln, welche Daten in ein KI-Tool eingegeben werden dürfen.
- Dokumentation vom Anbieter einholen: Auftragsverarbeitungsvertrag, technische Dokumentation und Informationen zur Datenhaltung bei jedem eingesetzten KI-Anbieter anfordern.
Diese vier Punkte lassen sich mit Papier und Excel-Liste angehen, in der Praxis scheitert genau das aber häufig an der Frage, wo die KI-Nutzung überhaupt sichtbar wird, wenn sie über zehn verschiedene Tools verteilt ist.
Handlungsempfehlungen: KI einführen, ohne Widerstände zu erzeugen
Selbst die beste Compliance-Checkliste nützt wenig, wenn die Belegschaft eine neue KI-Lösung als Kontrolle oder Bedrohung wahrnimmt statt als Arbeitserleichterung. Wolters Kluwer empfiehlt Unternehmen deshalb, zuerst einen Verhaltenskodex für den Umgang mit KI zu erarbeiten, der klar regelt, welche Tools erlaubt sind, welche Daten niemals in einen Prompt eingegeben werden dürfen und wie KI-erstellte Inhalte gekennzeichnet werden. Ein solcher Kodex ist kein bürokratisches Papier für die Schublade, sondern die Grundlage, auf die sich Mitarbeitende im Zweifel berufen können, wenn sie unsicher sind, ob eine Nutzung erlaubt ist.
Genauso wichtig ist Transparenz nach innen und außen. Mitarbeitende, Kunden und Lieferanten sollten aktiv darüber informiert werden, wo im Unternehmen KI eingesetzt wird, und der Betriebsrat sollte von Anfang an eingebunden werden, insbesondere wenn Mitarbeiterdaten verarbeitet werden, etwa in der Personalarbeit oder der Vertriebssteuerung. Diese frühe Einbindung nimmt vielen Sorgen den Wind aus den Segeln, weil Entscheidungen nicht über die Köpfe der Beschäftigten hinweg getroffen werden, sondern gemeinsam entstehen.
Ein zentraler Hebel gegen die Angst vor KI ist das Prinzip “Human in the Loop”: Die letzte Entscheidung über die Verwendung eines KI-Ergebnisses muss immer bei einem Menschen liegen, und dieser Mensch sollte so trainiert werden, dass er auch gegen eine KI-Empfehlung entscheiden kann, ohne sich dafür rechtfertigen zu müssen. Wird dieses Prinzip glaubhaft gelebt, verschiebt sich die Wahrnehmung von “die KI ersetzt mich” zu “die KI arbeitet mir zu”, was in der Praxis der entscheidende Unterschied für die Akzeptanz im Team ist.
Konkrete Maßnahmen, die sich in mittelständischen Unternehmen bewährt haben:
- Eine klare, schriftliche KI-Richtlinie erstellen, die erlaubte Tools, Datenkategorien und Freigabeprozesse benennt, statt es bei mündlichen Absprachen zu belassen.
- Den Betriebsrat oder die Mitarbeitervertretung frühzeitig einbinden, besonders bei Anwendungen mit Bezug zu Personaldaten oder Leistungsbewertung.
- Pilotgruppen statt Rundum-Einführung: Eine überschaubare Abteilung testet ein Tool zuerst, sammelt Erfahrungen und berichtet offen im Team, bevor die Lösung unternehmensweit ausgerollt wird.
- Regelmäßige, verständliche Kommunikation darüber, was die KI tut und was nicht, damit aus Gerüchten keine Verunsicherung entsteht.
- Feste Ansprechpartner benennen, an die sich Mitarbeitende bei Unsicherheiten oder Fehlern der KI wenden können, statt Probleme allein zu lösen oder zu verschweigen.
- Erfolge und konkrete Zeitersparnis sichtbar machen, etwa durch kurze Beispiele aus dem eigenen Betrieb, statt abstrakter Effizienzversprechen.
Diese Maßnahmen ersetzen keine der rechtlichen Pflichten aus dem AI Act, sie schaffen aber das Vertrauen, das nötig ist, damit eine compliance-konforme KI-Lösung im Alltag tatsächlich genutzt wird, statt an mangelnder Akzeptanz zu scheitern.
Warum kontrollierte KI-Nutzung die Compliance-Arbeit erleichtert
Genau an diesem Punkt zeigt sich der Unterschied zwischen einer KI, die irgendwo im Unternehmen nebenbei läuft, und einer KI, die strukturiert in die vorhandenen Abläufe eingebettet ist. Der humbee Copilot arbeitet ausschließlich mit Daten, die innerhalb der Plattform liegen und für die der jeweilige Nutzer auch tatsächlich berechtigt ist . Das bedeutet konkret: Ein Mitarbeiter erhält nur Antworten aus Vorgängen, auf die er ohnehin Zugriff hat, es entsteht kein zusätzlicher Datenabfluss und keine Situation, in der sensible Informationen an ein System außerhalb der Unternehmenskontrolle weitergegeben werden.
Weil der Copilot direkt im jeweiligen Vorgang arbeitet, findet er Informationen zuverlässig innerhalb der bestehenden Dokumentation, fasst lange Verläufe zusammen und liefert Antworten mit Bezug zum tatsächlichen Kontext, statt generische Aussagen ohne Unternehmenswissen zu produzieren. Für die AI-Act-Compliance ergeben sich daraus handfeste Vorteile: Die Nutzung ist von Beginn an dokumentiert und lässt sich für das KI-Inventar direkt übernehmen, die Datenverarbeitung bleibt in europäischen Rechenzentren, und jede KI-Ausgabe landet im Vorgang, wo sie von einem Menschen geprüft werden kann, bevor sie weiterverwendet wird. Das entspricht genau dem Prinzip der menschlichen Aufsicht, das der AI Act für sensible Anwendungsfälle verlangt.
Was das für die Geschäftsführung konkret bedeutet
Wer heute noch glaubt, der AI Act sei ein Thema für die IT-Abteilung, unterschätzt die Reichweite der Regelung. Die Verantwortung für ein lückenloses KI-Inventar, für nachweisbare Schulungen und für die Kontrolle darüber, welche Daten in welches Tool fließen, liegt am Ende bei der Geschäftsführung, unabhängig davon, wie viele einzelne Mitarbeitende KI-Werkzeuge im Alltag verwenden. Der pragmatischste Weg dorthin ist nicht ein Verbotskatalog, sondern eine KI-Lösung, die von Beginn an im vorhandenen Arbeitskontext verankert ist und keinen zusätzlichen Wildwuchs an Tools erzeugt.
Wer wissen möchte, wie sich der humbee Copilot konkret in die eigene Vorgangsbearbeitung einfügt und welche Schritte für die AI-Act-Vorbereitung im eigenen Unternehmen sinnvoll sind, kann sich das System in einem persönlichen Gespräch zeigen lassen, statt die Einführung anhand einer allgemeinen Checkliste im Alleingang zu planen.




